GB/T 22081-2008信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則

犐犆犛３５．０４０

犔８０

中華人民共和國國家標(biāo)準(zhǔn)

犌犅／犜２２０８１—２００８／犐犛犗／犐犈犆２７００２：２００５

代替ＧＢ／Ｔ１９７１６—２００５

信息技術(shù)安全技術(shù)

信息安全管理實(shí)用規(guī)則

犐狀犳狅狉犿犪狋犻狅狀狋犲犮犺狀狅犾狅犵狔—犛犲犮狌狉犻狋狔狋犲犮犺狀犻狇狌犲狊—

犆狅犱犲狅犳狆狉犪犮狋犻犮犲犳狅狉犻狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔犿犪狀犪犵犲犿犲狀狋

（ＩＳＯ／ＩＥＣ２７００２：２００５，ＩＤＴ）

２００８０６１９發(fā)布２００８１１０１實(shí)施

中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局

發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會(huì)

書

犌犅／犜２２０８１—２００８／犐犛犗／犐犈犆２７００２：２００５

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅳ

１范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

２術(shù)語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

３本標(biāo)準(zhǔn)的結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２

３．１章節(jié)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２

３．２主要安全類別!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３

４風(fēng)險(xiǎn)評(píng)估和處理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３

４．１評(píng)估安全風(fēng)險(xiǎn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３

４．２處置安全風(fēng)險(xiǎn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３

５安全方針!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４

５．１信息安全方針!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４

６信息安全組織!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５

６．１內(nèi)部組織!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５

６．２外部各方!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!８

７資產(chǎn)管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１２

７．１對(duì)資產(chǎn)負(fù)責(zé)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１２

７．２信息分類!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１３

８人力資源安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１４

８．１任用之前!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１４

８．２任用中!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１６

８．３任用的終止或變更!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１７

９物理和環(huán)境安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１８

９．１安全區(qū)域!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１８

９．２設(shè)備安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２０

１０通信和操作管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２３

１０．１操作規(guī)程和職責(zé)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２３

１０．２第三方服務(wù)交付管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２５

１０．３系統(tǒng)規(guī)劃和驗(yàn)收!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２６

１０．４防范惡意和移動(dòng)代碼!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２７

１０．５備份!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２８

１０．６網(wǎng)絡(luò)安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２９

１０．７介質(zhì)處置!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３０

１０．８信息的交換!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３１

１０．９電子商務(wù)服務(wù)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３４

１０．１０監(jiān)視!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３６

１１訪問控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３９

１１．１訪問控制的業(yè)務(wù)要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３９

Ⅰ

書

犌犅／犜２２０８１—２００８／犐犛犗／犐犈犆２７００２：２００５

１１．２用戶訪問管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３９

１１．３用戶職責(zé)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４１

１１．４網(wǎng)絡(luò)訪問控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４３

１１．５操作系統(tǒng)訪問控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４６

１１．６應(yīng)用和信息訪問控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４８

１１．７移動(dòng)計(jì)算和遠(yuǎn)程工作!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４９

１２信息系統(tǒng)獲取、開發(fā)和維護(hù)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５１

１２．１信息系統(tǒng)的安全要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５１

１２．２應(yīng)用中的正確處理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５１

１２．３密碼控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５３

１２．４系統(tǒng)文件的安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５５

１２．５開發(fā)和支持過程中的安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!５６

１２．６技術(shù)脆弱性管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５８

１３信息安全事件管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５９

１３．１報(bào)告信息安全事態(tài)和弱點(diǎn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!５９

１３．２信息安全事件和改進(jìn)的管理!!!!!!!!!!!!!!!!!!!!!!!!!!!６１

１４業(yè)務(wù)連續(xù)性管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６３

１４．１業(yè)務(wù)連續(xù)性管理的信息安全方面!!!!!!!!!!!!!!!!!!!!!!!!!６３

１５符合性!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６６

１５．１符合法律要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６６

１５．２符合安全策略和標(biāo)準(zhǔn)以及技術(shù)符合性!!!!!!!!!!!!!!!!!!!!!!!６８

１５．３信息系統(tǒng)審計(jì)考慮!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６９

參考文獻(xiàn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７１

Ⅱ

犌犅／犜２２０８１—２００８／犐犛犗／犐犈犆２７００２：２００５

前言

本標(biāo)準(zhǔn)等同采用ＩＳＯ／ＩＥＣ２７００２：２００５《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》。僅有編

輯性修改。

本標(biāo)準(zhǔn)是對(duì)ＧＢ／Ｔ１９７１６—２００５的修訂。修訂中依據(jù)ＩＳＯ／ＩＥＣ２７００２：２００５增刪了一些技術(shù)內(nèi)容。

本標(biāo)準(zhǔn)代替ＧＢ／Ｔ１９７１６—２００５。

本標(biāo)準(zhǔn)由中華人民共和國信息產(chǎn)業(yè)部提出。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口。

本標(biāo)準(zhǔn)由中國電子技術(shù)標(biāo)準(zhǔn)化研究所、北京知識(shí)安全工程中心、上海三零衛(wèi)士有限公司、北京市信

息安全測評(píng)中心、北京數(shù)字認(rèn)證中心負(fù)責(zé)起草。

本標(biāo)準(zhǔn)主要起草人：上官曉麗、許玉娜、胡嘯、王新杰、趙戰(zhàn)生、王連強(qiáng)、孔一童、曾波、劉海峰、

湯永利、尚小鵬、閔京華。

本標(biāo)準(zhǔn)所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為：

———ＧＢ／Ｔ１９７１６—２００５。

Ⅲ

犌犅／犜２２０８１—２００８／犐犛犗／犐犈犆２７００２：２００５

引言

０．１什么是信息安全

像其他重要業(yè)務(wù)資產(chǎn)一樣，信息也是對(duì)組織業(yè)務(wù)至關(guān)重要的一種資產(chǎn)，因此需要加以適當(dāng)?shù)乇Ｗo(hù)。

在業(yè)務(wù)環(huán)境互連日益增加的情況下這一點(diǎn)顯得尤為重要。這種互連性的增加導(dǎo)致信息暴露于日益增多

的、范圍越來越廣的威脅和脆弱性當(dāng)中（也可參考關(guān)于信息系統(tǒng)和網(wǎng)絡(luò)的安全的ＯＥＣＤ指南）。

信息可以以多種形式存在。它可以打印或?qū)懺诩埳?、以電子方式存?chǔ)、用郵寄或電子手段傳送、呈

現(xiàn)在膠片上或用語言表達(dá)。無論信息以什么形式存在，用哪種方法存儲(chǔ)或共享，都宜對(duì)它進(jìn)行適當(dāng)?shù)?/p>

保護(hù)。

信息安全是保護(hù)信息免受各種威脅的損害，以確保業(yè)務(wù)連續(xù)性，業(yè)務(wù)風(fēng)險(xiǎn)最小化，投資回報(bào)和商業(yè)

機(jī)遇最大化。

信息安全是通過實(shí)施一組合適的控制措施而達(dá)到的，包括策略、過程、規(guī)程、組織結(jié)構(gòu)以及軟件和硬

件功能。在必要時(shí)需建立、實(shí)施、監(jiān)視、評(píng)審和改進(jìn)這些控制措施，以確保滿足該組織的特定安全和業(yè)務(wù)

目標(biāo)。這個(gè)過程宜與其他業(yè)務(wù)管理過程聯(lián)合進(jìn)行。

０．２為什么需要信息安全

信息及其支持過程、系統(tǒng)和網(wǎng)絡(luò)都是重要的業(yè)務(wù)資產(chǎn)。定義、實(shí)現(xiàn)、保持和改進(jìn)信息安全對(duì)保持競

爭優(yōu)勢、現(xiàn)金周轉(zhuǎn)、贏利、守法和商業(yè)形象可能是至關(guān)重要的。

各組織及其信息系統(tǒng)和網(wǎng)絡(luò)面臨來自各個(gè)方面的安全威脅，包括計(jì)算機(jī)輔助欺詐、間諜活動(dòng)、惡意

破壞、毀壞行為、火災(zāi)或洪水。例如惡意代碼、計(jì)算機(jī)黑客搗亂和拒絕服務(wù)攻擊等導(dǎo)致破壞的安全威脅，

已經(jīng)變得更加普遍、更有野心和日益復(fù)雜。

信息安全對(duì)于公共和專用兩部分的業(yè)務(wù)以及保護(hù)關(guān)鍵基礎(chǔ)設(shè)施是非常重要的。在這兩部分中信息

安全都將作為一個(gè)使能者，例如實(shí)現(xiàn)電子政務(wù)或電子商務(wù)，避免或減少相關(guān)風(fēng)險(xiǎn)。公共網(wǎng)絡(luò)和專用網(wǎng)絡(luò)

的互連、信息資源的共享都增加了實(shí)現(xiàn)訪問控制的難度。分布式計(jì)算的趨勢也削弱了集中的、專門控制

的有效性。

許多信息系統(tǒng)并沒有被設(shè)計(jì)成是安全的。通過技術(shù)手段可獲得的安全性是有限的，宜通過適當(dāng)?shù)?/p>

管理和規(guī)程給予支持。確定哪些控制措施宜實(shí)施到位需要仔細(xì)規(guī)劃并注意細(xì)節(jié)。信息安全管理至少需

要該組織內(nèi)的所有員工參與，還可能要求利益相關(guān)者、供應(yīng)商、第三方、顧客或其他外部方的參與。外部

組織的專家建議可能也是需要的。

０．３如何建立安全要求

組織識(shí)別出其安全要求是非常重要的，安全要求有三個(gè)主要來源：

ａ）一個(gè)來源是通過對(duì)組織進(jìn)行風(fēng)險(xiǎn)的評(píng)估獲得，并考慮到組織的整體業(yè)務(wù)策略與目標(biāo)。通過風(fēng)

險(xiǎn)評(píng)估，識(shí)別資產(chǎn)受到的威脅，評(píng)價(jià)易受威脅利用的脆弱性和威脅發(fā)生的可能性，估計(jì)潛在的

影響；

ｂ）另一個(gè)來源是組織、貿(mào)易伙伴、承包方和服務(wù)提供者必須滿足的法律、法規(guī)、規(guī)章和合同要求，

以及他們的社會(huì)文化環(huán)境；

ｃ）進(jìn)一步的來源是組織開發(fā)的支持其運(yùn)行的信息處理的原則、目標(biāo)和業(yè)務(wù)要求的特定集合。

０．４評(píng)估安全風(fēng)險(xiǎn)

安全要求是通過對(duì)安全風(fēng)險(xiǎn)的系統(tǒng)評(píng)估予以識(shí)別的。用于控制措施的支出需要針對(duì)可能由安全失

效導(dǎo)致的業(yè)務(wù)損害加以平衡。

Ⅳ

犌犅／犜２２０８１—２００８／犐犛犗／犐犈犆２７００２：２００５

風(fēng)險(xiǎn)評(píng)估的結(jié)果將幫助指導(dǎo)和決定適當(dāng)?shù)墓芾硇袆?dòng)、管理信息安全風(fēng)險(xiǎn)的優(yōu)先級(jí)以及實(shí)現(xiàn)所選擇

的用以防范這些風(fēng)險(xiǎn)的控制措施。

風(fēng)險(xiǎn)評(píng)估宜定期進(jìn)行，以應(yīng)對(duì)可能影響風(fēng)險(xiǎn)評(píng)估結(jié)果的任何變化。

更多的關(guān)于安全風(fēng)險(xiǎn)評(píng)估的信息見４．１的“評(píng)估安全風(fēng)險(xiǎn)”。

０．５選擇控制措施

一旦安全要求和風(fēng)險(xiǎn)已被識(shí)別并已作出風(fēng)險(xiǎn)處置決定，則宜選擇并實(shí)現(xiàn)合適的控制措施，以確保風(fēng)

險(xiǎn)降低到可接受的級(jí)別?？刂拼胧┛梢詮谋緲?biāo)準(zhǔn)或其他控制措施集合中選擇，或者當(dāng)合適時(shí)設(shè)計(jì)新的

控制措施以滿足特定需求。安全控制措施的選擇依賴于組織所作出的決定，該決定是基于組織所應(yīng)用

的風(fēng)險(xiǎn)接受準(zhǔn)則、風(fēng)險(xiǎn)處置選項(xiàng)和通用的風(fēng)險(xiǎn)管理方法，同時(shí)還宜遵守我國的法律法規(guī)。

本標(biāo)準(zhǔn)中的某些控制措施可被當(dāng)作信息安全管理的指導(dǎo)原則，并且可用于大多數(shù)組織。下面在題

為“信息安全起點(diǎn)”中將更詳細(xì)的解釋這些控制措施。

更多的關(guān)于選擇控制措施和其他風(fēng)險(xiǎn)處置選項(xiàng)的信息見４．２的“處置安全風(fēng)險(xiǎn)”。

０．６信息安全起點(diǎn)

許多控制措施被認(rèn)為是實(shí)現(xiàn)信息安全的良好起點(diǎn)。它們或者是基于重要的法律要求，或者被認(rèn)為

是信息安全的常用慣例。

從法律的觀點(diǎn)看，對(duì)某個(gè)組織重要的控制措施包括，根據(jù)適用的法律：

ａ）數(shù)據(jù)保護(hù)和個(gè)人信息的隱私（見１５．１．４）；

ｂ）保護(hù)組織的記錄（見１５．１．３）；

ｃ）知識(shí)產(chǎn)權(quán)（見１５．１．２）。

被認(rèn)為是信息安全的常用慣例的控制措施包括：

ａ）信息安全方針文件（見５．１．１）；

ｂ）信息安全職責(zé)的分配（見６．１．３）；

ｃ）信息安全意識(shí)、教育和培訓(xùn)（見８．２．２）；

ｄ）應(yīng)用中的正確處理（見１２．２）；

ｅ）技術(shù)脆弱性管理（見１２．６）；

ｆ）業(yè)務(wù)連續(xù)性管理（見１４）；

ｇ）信息安全事件和改進(jìn)管理（見１３．２）。

這些控制措施適用于大多數(shù)組織和環(huán)境。

宜注意，雖然本標(biāo)準(zhǔn)中的所有控制措施都是重要的并且是應(yīng)被考慮的，但是宜根據(jù)某個(gè)組織所面臨

的特定風(fēng)險(xiǎn)來確定任何一種控制措施是否是合適的。因此，雖然上述方法被認(rèn)為是一種良好的起點(diǎn)，但

它并不能取代基于風(fēng)險(xiǎn)評(píng)估而選擇的控制措施。

０．７關(guān)鍵的成功因素

經(jīng)驗(yàn)表明，下列因素通常對(duì)一個(gè)組織成功地實(shí)施信息安全來說，十分關(guān)鍵：

ａ）反映業(yè)務(wù)目標(biāo)的信息安全方針、目標(biāo)以及活動(dòng)；

ｂ）與組織文化保持一致的實(shí)現(xiàn)、保持、監(jiān)視和改進(jìn)信息安全的方法和框架；

ｃ）來自所有級(jí)別管理者可見的支持和承諾；

ｄ）正確理解信息安全要求、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理；

ｅ）向所有管理人員、員工和其他方傳達(dá)有效的信息安全知識(shí)以使他們具備安全意識(shí)；

ｆ）向所有管理人員、員工和其他方分發(fā)關(guān)于信息安全方針和標(biāo)準(zhǔn)的指導(dǎo)意見；

ｇ）提供資金以支持信息安全管理活動(dòng)；

ｈ）提供適當(dāng)?shù)囊庾R(shí)、培訓(xùn)和教育；

Ⅴ

犌犅／犜２２０８１—２００８／犐犛犗／犐犈犆２７００２：２００５

ｉ）建立一個(gè)有效的信息安全事件管理過程；

ｊ）實(shí)施一個(gè)測量１）系統(tǒng)，